Nel 2025, l’Italia ha subito il 10,2% di tutti gli incidenti cyber mondiali, confermando il suo status critico nella cybersecurity tra le principali economie europee. Non si tratta di semplici intrusioni: l’82% di questi incidenti ha avuto un impatto classificato come “Critico” o “Alto”2 sulle operazioni aziendali, con conseguenze dirette su produzione, erogazione servizi e continuità operativa.
Tra i settori più colpiti continuano ad esserci pubblica amministrazione e manufacturing, ma nessuno è immune: dall’energia e utility ai trasporti, dalla sanità ai servizi finanziari, tutti hanno affrontato minacce sempre più sofisticate.
La domanda che dovremmo porci non è più “se” verremo attaccati, ma “quando”. E di conseguenza “come” avere una piena visione delle potenziali minacce.
Il vecchio modello: la sicurezza a compartimenti stagni
Per decenni, la sicurezza aziendale è stata concepita come un insieme di domini distinti. Da una parte, la sicurezza fisica: guardie, cancelli, telecamere, controlli accessi, badge. Dall’altra, la sicurezza IT: firewall, antivirus, crittografia, monitoring di rete. Due mondi, due budget, due responsabili, due linguaggi.
Questo modello funzionava quando le minacce erano anch’esse separate. Un’intrusione fisica era un problema per la vigilanza, un malware per l’IT. Skill necessarie, strumenti, governance: tutto era ben distinto.
Ma c’è un dettaglio che questo modello ignora: le minacce moderne non rispettano i nostri organigrammi.
La nuova minaccia: attacchi che attraversano i silos
Gli attaccanti hanno capito qualcosa che molte organizzazioni ancora non hanno ancora metabolizzato: i confini tra fisico e digitale sono un’illusione. E queste zone grigie tra silos sono la vulnerabilità migliore da sfruttare.
Consideriamo gli attacchi ibridi documentati nel 2024 e 2025 attraverso i settori:
· Nel settore pubblico: secondo il Clusit, la Pubblica Amministrazione è stata il bersaglio significativo di attacchi hacktivisti, rappresentando il 38,7% degli incidenti totali in Italia nel 2025, principalmente attraverso attacchi DDoS (38,5%) che hanno paralizzato servizi essenziali ai cittadini, dai portali comunali ai sistemi di pagamento digitale.
· Nel settore delle infrastrutture critiche: tra le organizzazioni che utilizzano sistemi OT/IoT — dalle utility alle reti di trasporto, dagli impianti energetici ai sistemi di controllo industriale — il 48,2% ha subito attacchi informatici nel 2024 secondo Anitec-Assinform. Gli attacchi hanno preso di mira robot e sistemi automatizzati (60%), sistemi SCADA per il controllo di processo (37%), e dispositivi IoT connessi (33%).
· Nel settore dei trasporti: all’inizio del 2025, un attacco informatico ha costretto JLR a fermare la produzione in diversi stabilimenti. A febbraio, un cyberattacco al software MUSE per check-in e boarding ha causato ritardi e cancellazioni di voli in tutta Europa, dimostrando la vulnerabilità dell’interconnessione dei sistemi di trasporto.
Alcuni pattern ricorrenti di attacchi convergenti trasversali ai settori:
· Ingegneria sociale + intrusione di rete: Un dipendente viene manipolato per far entrare qualcuno in un’area riservata. Quello stesso accesso fisico viene usato per installare un dispositivo che compromette la rete interna, bypassando così ogni firewall perimetrale.
· Manipolazione di badge + escalation cyber: Credenziali fisiche clonate o rubate vengono usate non solo per accedere a spazi fisici, ma anche per autenticarsi su sistemi IT che condividono lo stesso sistema di gestione identità, aprendo la porta a movimenti laterali nella rete.
· Compromissione di sistemi critici via IT: Un attacco ransomware penetra attraverso la rete IT tradizionale ma l’obiettivo finale sono i sistemi operativi critici — che siano sistemi di controllo industriale, infrastrutture energetiche, piattaforme di erogazione servizi pubblici, o sistemi ospedalieri. Il risultato: paralisi operativa immediata.
La soluzione convergente: un team, un processo, una piattaforma
Qui entra in gioco la Security Convergence, ovvero l’integrazione strategica di sicurezza fisica, sicurezza digitale e sicurezza operativa in un’unica architettura di governance, monitoraggio e risposta. Ma come si declina in pratica?
1. Una piattaforma tecnologica unificata
Non più dashboard separate per videosorveglianza, allarmi fisici, eventi di rete e telemetria operativa. Una visione unica che correla in tempo reale eventi apparentemente slegati.
Quando un badge viene usato in modo anomalo e contemporaneamente si rileva traffico di rete sospetto verso sistemi critici, la piattaforma correla automaticamente gli eventi attraverso tutti i domini di sicurezza e solleva un alert integrato che cambia completamente la priorità di risposta.
2. Un SOC integrato — o Security NOC
Un centro di comando con competenze trasversali — cyber, fisico, operativo — capace di leggere segnali deboli e correlarli.
Il valore non è solo tecnologico: è nelle persone e nei processi. Un SOC convergente riduce drasticamente i falsi positivi, accelera i tempi di risposta e, soprattutto, previene invece di reagire. Secondo gli standard di settore consolidati, le organizzazioni che non dispongono di sistemi di correlazione avanzati registrano un tempo medio di rilevamento (MTTD) di 194 giorni, mentre i SOC integrati con capacità di correlazione cross-domain possono ridurre questo tempo a meno di 48 ore.
3. Intelligenza Artificiale come copilota strategico
L’AI addestrata su dati proprietari diventa un consulente esperto sempre disponibile. Non sostituisce l’umano: lo potenzia.
Analizza pattern comportamentali attraverso dati fisici, IT e operativi simultaneamente, identifica anomalie e traduce il linguaggio tecnico in metriche comprensibili. Nel 2024, il mercato italiano dell’AI ha chiuso a €935,1 milioni con una crescita del 38,7%, con applicazioni in forte espansione proprio nell’ambito della sicurezza operativa, della correlazione di eventi complessi e della threat intelligence predittiva.
Riorganizzarsi prima di investire in tecnologie
Il primo passo verso una migliore sicurezza, dunque, non è l’acquisto di nuove tecnologie, ma la riorganizzazione per avere una visione unificata del rischio.
Nel 2024, le imprese italiane hanno speso oltre €2 miliardi in cybersecurity. Nel 2025, la spesa ha superato i €2,2 miliardi. Eppure, gli attacchi hanno continuato ad aumentare. Perché? Perché abbiamo speso per rinforzare i silos, non per abbatterli.
Molte aziende e organizzazioni credono che basti installare una soluzione per risolvere un problema di sicurezza. Ma la sicurezza non è un prodotto: è un processo che va implementato, manutenuto e continuamente adattato. E soprattutto, un processo che deve parlare una lingua unica attraverso tutti i domini: fisico, cyber, operativo.
La Direttiva NIS2 ha segnato una svolta, imponendo requisiti stringenti sulla gestione del rischio operativo e sulla sicurezza della supply chain a oltre 80 tipologie di soggetti in 18 settori considerati critici o altamente critici. Migliaia di organizzazioni — da banche a ospedali, da utilities a enti pubblici, da fornitori di servizi digitali a operatori dei trasporti — stanno ora affrontando l’obbligo di convergenza.
Chi ha già adottato questo approccio sta dimostrando una cosa: la vera differenza competitiva non è tra chi subisce un attacco e chi invece non ne viene toccato. È tra chi torna operativo nel giro di poche ore e chi impiega giorni o settimane, con costi che possono superare i milioni di euro.
